ADEGUAMENTI NORMATIVI

GDPR e Registro delle Opposizioni: ambiti applicativi e regole di conformità

Il Registro delle Opposizioni è veramente uno strumento utile oppure la concreta applicazione del GDPR svolgerebbe le stesse funzioni? Per rispondere a questa domanda proviamo a individuare i corretti ambiti applicativi e a definire le giuste regole di conformità

04 Mar 2020
T
Roberto Tuninetti

Consulente Privacy & Data Protection Officer


A due anni dall’entrata in vigore della legge 5/2018, durante uno degli ultimi consigli dei Ministri è stato effettuato il primo esame preliminare del nuovo regolamento sul Registro delle Opposizioni che mira a inserire anche i numeri cellulari insieme ai fissi e alla posta cartacea contro il dilagante fenomeno del marketing indesiderato.

Questo regolamento, redatto congiuntamente dalla Presidenza del Consiglio e dal Ministero dello Sviluppo Economico (MISE), è necessario per dare effettiva operatività alla predetta legge 5/2018.

La preparazione di tale regolamento necessiterà di un lungo lavoro, accompagnato dalle opportune consultazioni con il Garante Privacy e gli operatori coinvolti. In attesa, è importante analizzare quanto la legge 5/2018 apporti alla luce del GDPR o, quantomeno, qualora il GDPR venisse effettivamente applicato e fatto osservare.

GDPR e Registro delle Opposizioni: ambito applicativo

Il primo aspetto da considerare è l’ambito di applicazione: tutti i soggetti economici dotati di un addetto che svolge attività di “front office” o solo ai soggetti che svolgono in via esclusiva o prevalente attività di call center sono soggetti alla norma in questione?

Una definizione precisa di operatore non è presente nella norma in analisi, ma richiama quanto previsto dall’articolo 4 del codice in materia di protezione dei dati personali (abrogato dal decreto legislativo 101/2018) e dal nuovo regolamento.

I rilievi posti in essere dal Garante per la protezione dei dati personali nel parere richiesto in merito non intaccano la definizione tuttora prevista dal regolamento attuale (D.P.R. n. 178/2010) di “operatore” inteso come “qualunque soggetto, persona fisica o giuridica, che, in qualità di titolare […] intenda effettuare il trattamento dei dati […] per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’impiego del telefono o della posta cartacea”.

Da questo deriva chiaramente come l’ambito di applicazione della legge 5/2018 riguarderà qualsiasi soggetto che compia attività di marketing telefonico.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

Quanto evidenziato dal Garante avvalora questa interpretazione: nel parere del 30 aprile 2019 il Garante “ritiene necessario che nello schema di decreto sia precisato, con opportuna chiarezza espositiva, che l’iscrizione al Registro comporta automaticamente, ai sensi dell’articolo 21, paragrafo 2, del Regolamento, l’opposizione a tutti i trattamenti a fini promozionali da parte di chiunque effettuati, con revoca anche dei consensi precedentemente manifestati“.

Chi può iscriversi al registro delle opposizioni?

Anche da questo punto di vista la legge 5/2018 richiama le definizioni presenti nell’abrogato articolo 4 del Codice Privacy, il quale definisce come interessato “la persona fisica, cui si riferiscono i dati personali”, definizione in linea con quanto previsto dal GDPR, il quale definisce interessato la “persona fisica identificata o identificabile” a cui si riferiscono i dati personali.

Ciò sottolineato, è chiaro come nel registro delle opposizioni possano iscriversi esclusivamente le persone fisiche.

Trattamenti a scopo promozionale e consenso

Entrando nell’ambito di applicazione oggettivo, la norma si riferisce alle “chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato”, quindi di trattamenti che necessitano della base giuridica del consenso dell’interessato.

Ricordiamo come la prima parte dell’articolo 6 del GDPR statuisca che “Il trattamento è lecito solo se e nella misura in cui […] l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”.

Ovviamente il consenso deve presentare le caratteristiche che lo rendono certo, quindi deve essere inequivocabile, libero, specifico, informato e verificabile.

Il testo della legge in esame afferma che l’iscrizione nel registro delle opposizioni fa decadere di fatto e di diritto i consensi precedentemente prestati inerenti al trattamento del dato personale a cui tale iscrizione si riferisce. Orbene, questo argomento presenta delle criticità interpretative importanti se raffrontato al GDPR.

In primis la revoca “urbi et orbi” è in contrasto con la specificità del consenso: una delle caratteristiche del consenso consiste nella sua specificità, cioè deve essere relativo alla finalità per la quale è eseguito quel trattamento e tale specificità è caratteristica del consenso in quanto tale, quindi non solo alla prestazione di esso, ma anche alla sua revoca.

In secondo luogo, il colpo di spugna a tutti i consensi prestati in precedenza che deriverà dall’iscrizione al registro delle opposizioni, è un modo indiretto per affermare quanto poca sensibilità ci sia in materia, anche da parte dei soggetti interessati che, spesso e volentieri, si trovano a dare consensi senza neanche prendere visione di ciò a cui stanno assentendo.

Se il GDPR venisse applicato in modo corretto e diffuso, molte problematiche sarebbero assenti: informative chiare, concise e accessibili, richieste di consenso legittime, chiare ed inequivocabili renderebbero superflui questi interventi legislativi immanenti. La strada da percorrere è ancora lunga.

Un altro aspetto che lascia perplessi è rappresentato da quanto previsto dall’ultimo periodo dell’articolo 5 legge 5/2018, il quale statuisce che “Sono fatti salvi i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali è comunque assicurata, con procedure semplificate, la facoltà di revoca”.

Questa previsione normativa implicherà, quindi, che il nostro fornitore (ad esempio il nostro provider di telefonia) potrà continuare legittimamente a contattarci per proporci nuove offerte e promozioni e, nel caso si voglia revocare tale consenso, si dovranno utilizzare le modalità di esercizio della revoca del consenso previste dallo stesso titolare del trattamento, così come specificato dall’articolo 7 punto 3 del GDPR.

Conclusioni

La legge 5/2018, purtroppo, nasce già vecchia, in quanto non tiene conto del Regolamento 2016/679 (GDPR), neanche in via previsionale; per questo affronta problematiche che avrebbero potuto essere meglio analizzate se inserite sotto il più ampio e completo cappello della normativa comunitaria.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Il decreto del Presidente della Repubblica che modificherà le disposizioni regolamentari vigenti potrà contribuire ad una auspicabile opera di uniformazione “ex post”, in special modo se sarà finalmente possibile l’intervento di un Garante con pieni poteri e non, ancora, in regime di prorogatio.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5